Δηλώνοντας ότι είναι ζευγάρι από το Βιετνάμ, είπαν ότι αρχικά προσπάθησαν να κάνουν επίθεση με λυτρισμικό λογισμικό (ransomware) και στη συνέχεια διέγραψαν μεγάλο όγκο δεδομένων, όταν οι ειδικοί της εταιρείας απέτρεψαν τα σχέδιά τους.
Οι ίδιοι υποστήριξαν ότι απέκτησαν πρόσβαση στις βάσεις δεδομένων της εταιρείας, χάρη σε ένα εύκολο και «αδύναμο» κωδικό, το «Qwerty1234». Ειδικός δήλωσε πως αυτή η υπόθεση αναδεικνύει την εκδικητική πλευρά των χάκερ.
Η IHG, που έχει έδρα στη Βρετανία, λειτουργεί 6.000 ξενοδοχεία σε όλο τον κόσμο, μεταξύ των οποίων τα Holiday Inn, Crowne Plaza και Regent. Την περασμένη Δευτέρα πελάτες άρχισαν να αναφέρουν εκτεταμένα προβλήματα στις κρατήσεις και το check-in.
Επί 24 ώρες η IHG απαντούσε σε παράπονα που δεχόταν στα social media, λέγοντας ότι η εταιρεία κάνει «συντήρηση συστήματος». Τελικά, το απόγευμα της Τρίτης ενημέρωσε τους επενδυτές ότι έπεσε θύμα χακαρίσματος. «Οι κρατήσεις και άλλες εφαρμογές διαταράχθηκαν σημαντικά από χθες», ανέφερε σε επίσημο σημείωμα προς το χρηματιστήριο του Λονδίνου.
Η αλλαγή σχεδίου
Οι χάκερ, που αυτοαποκαλούνται TeaPea, επικοινώνησαν με το ΒΒC μέσω του Telegram, στέλνοντας φωτογραφίες ως αποδείξεις πως οι ίδιοι είχαν κάνει την κυβερνοεπίθεση. Οι φωτογραφίες, που η IHG επιβεβαίωσε ότι είναι αυθεντικές, δείχνουν ότι απέκτησαν πρόσβαση στο εσωτερικό email της εταιρείας, τα Microsoft Teams chats και στους καταλόγους των σέρβερ.
«Αρχικά είχαμε στόχο να κάνουμε την επίθεσή μας με ransomware, όμως η ομάδα πληροφορικής της εταιρείας συνέχισε να απομονώνει τους σέρβερ προτού να έχουμε την ευκαιρία να το αναπτύξουμε, οπότε σκεφτήκαμε να κάνουμε λίγο πλάκα. Αντί για αυτό κάναμε επίθεση wiper», ανέφερε ο ένας από τους χάκερ. Το wiper είναι μια μορφή κυβερνοεπίθεσης που καταστρέφει αμετάκλητα δεδομένα, έγγραφα και αρχεία.
Η υπόθεση αυτή αποτελεί προειδοποίηση καθώς, παρότι αρχικά η εταιρεία κατάφερε να αποτρέψει τους χάκερ, τελικά αυτοί βρήκαν τρόπο για να προκαλέσουν ζημιά, επεσήμανε ο Ρικ Φέργκιουσον, ειδικός στην κυβερνοασφάλεια και αντιπρόεδρος της εταιρείας Forescout.
«Η αλλαγή της τακτικής των χάκερ φαίνεται να προκλήθηκε από μία εκδικητική απογοήτευση. Δεν μπορούσαν να βγάλουν χρήματα, οπότε ξέσπασαν. Και αυτό προδίδει το γεγονός ότι δεν μιλάμε για “επαγγελματίες” κυβερνοεγκληματίες εδώ», συμπλήρωσε.
«Δεν νιώθουμε ένοχοι»
Οι χάκερ πάντως δεν έδειξαν καμία μεταμέλεια για την αναστάτωση που προκάλεσαν στην εταιρεία και τους πελάτες της. «Δεν νιώθουμε ένοχοι, αλήθεια. Θα προτιμούσαμε να είχαμε μια νόμιμη δουλειά εδώ στο Βιετνάμ, αλλά ο μέσος μισθός είναι 300 δολάρια. Είμαι σίγουρος ότι το χακάρισμα δεν θα βλάψει ιδιαίτερα την εταιρεία», ανέφερε ένας εξ αυτών.
Δεν εκλάπησαν στοιχεία πελατών, υποστήριξαν οι χάκερ, αλλά ανέφεραν ότι έχουν κάποια εταιρικά δεδομένα, μεταξύ άλλων αρχεία email. Είπαν ότι απέκτησαν πρόσβαση στο εσωτερικό δίκτυο της IHG ξεγελώντας έναν εργαζόμενο που κατέβασε κακόβουλο λογισμικό από «παγιδευμένο» συνημμένο αρχείο σε email. Επίσης, παρέκαμψαν το πρόσθετο μήνυμα ασφαλείας, που στέλνεται σε συσκευές των εργαζομένων στο πλαίσιο του συστήματος ταυτοποίησης δύο παραγόντων.
Έπειτα από αυτό, απέκτησαν πρόσβαση στα πιο ευαίσθητα τμήματα του συστήματος της IHG, αφού βρήκαν τα στοιχεία σύνδεσης με το εσωτερικό θησαυροφυλάκιο κωδικών. «Το όνομα χρήστη και ο κωδικός για το θησαυροφυλάκιο ήταν διαθέσιμα σε όλους τους εργαζομένους, οπότε 200.000 υπάλληλοι μπορούσαν να το δουν. Και ο κωδικός ήταν εξαιρετικά αδύναμος», είπαν στο BBC.
Αποτελεί έκπληξη ότι ο κωδικός ήταν Qwerty1234, που συχνά εμφανίζεται στις λίστες με τα πιο συνηθισμένα password που χρησιμοποιούνται παγκοσμίως. «Τα ευαίσθητα δεδομένα θα έπρεπε να διαθέσιμα μόνο σε εργαζομένους που χρειάζονται πρόσβαση σε αυτά για να κάνουν τη δουλειά τους. Και θα έπρεπε να υπάρχει το ελάχιστο επίπεδο πρόσβασης για τη χρήση των δεδομένων», επεσήμανε ο Φέργκιουσον. «Ακόμη και ένα ιδιαίτερα σύνθετο password είναι το ίδιο μη ασφαλές με ένα απλό, εάν μείνει εκτεθειμένο», προειδοποίησε.